Kant's IT/Issue on IT&Security

NX도메인 헌터 해킹그룹의 서브 도메인 스캔 공격 대응 방안

Kant Jo 2024. 10. 1. 22:37

NX도메인 헌터 해킹그룹의 서브 도메인 스캔 공격, 어떻게 대응해야 하나

 

NX도메인 헌터 해킹그룹의 서브 도메인 스캔 공격, 어떻게 대응해야 하나

올해 7월 금융보안원은 금융기관을 타깃으로 한 NX도메인 헌터(NXDomain Hunter)라는 새로운 사이버 위협과 관련한 분석 보고서를 발표했다. 이 해킹그룹은 보안이 취약하고 관리되지 않는 시스템을

www.boannews.com

 

  • NX도메인 헌터 개요
    • NX도메인 헌터(NXDomain Hunter)는 보안이 취약하거나 관리되지 않는 시스템을 목표로 공격하여 내부로 침투하는 해킹그룹
    • 주된 공격 방식은 NX도메인 플러드 공격서브 도메인 스캔 공격으로 구분됨
  • NX도메인 플러드 공격
    • 대량의 DNS 질의를 통해 존재하지 않는 도메인에 대해 쓸데없는 요청을 발생시켜 DNS 서버의 자원을 소모시키고 서비스 거부(DoS) 상태를 초래
    • 무작위로 도메인을 질의하며, 자원 고갈이 주된 목적임
  • 서브 도메인 스캔 공격
    • 특정 도메인의 하위 도메인을 체계적으로 검색하여 네트워크 구조를 파악하고, 비보호 자원이나 새로운 공격 경로를 탐색
    • 취약점을 식별하고 악의적인 행위를 수행할 수 있는 경로를 찾는 것이 주 목적임
  • NX도메인 헌터 공격 특징 비교
    • NX도메인 플러드 공격
      • 서비스 가용성 침해가 주목적이며, 무작위로 도메인을 질의함
      • 출발지 IP는 위변조가 가능
    • 서브 도메인 스캔 공격
      • 취약한 도메인을 탐색하며, 특정 타겟 도메인을 검색
      • 출발지 IP는 위변조가 불가능
  • 공격 대응 방안
    • 공격표면 관리(ASM) 솔루션 활용
      • 금융기관을 포함한 기업들은 Criminal IP ASM과 같은 ASM 솔루션을 통해 외부 위협에 대한 효과적인 대응이 필요
    • 자동 자산 탐지
      • 대표 도메인만 입력해도 전 세계에 연결된 모든 IT 자산을 자동으로 탐지
      • 서브 도메인과 IP 주소를 시각적으로 파악 가능
    • 위험 평가 및 시각화
      • 탐지된 자산의 위험도를 분류해 직관적인 대시보드로 시각화
      • 자산의 보안 상태를 신속히 평가할 수 있음
    • 실시간 모니터링
      • 자산의 보안 상태를 실시간으로 모니터링하여 신속한 대응을 가능하게 함
  • 보안 권고 사항
    • 취약한 도메인 관리
      • 외부에 노출된 취약한 도메인이 운영되지 않도록 지속적인 관리가 필요
    • ASM 도입 및 활용
      • 조직 내부에서 지속적으로 ASM을 활용하여 공격에 노출된 표면을 줄여야 함
      • 잠재적인 위협을 사전에 차단해야 함
  • 금융기관 대응 필요성
    • 금융기관은 서브 도메인 스캔 공격에 취약할 수 있으므로, 정기적인 보안 점검취약점 관리가 필수적
    • Criminal IP ASM 같은 솔루션을 통해 보안 관리 강화